Журналирование в Windows

Дисциплина: Администрирование сетевых подсистем

Ибрахим Мохсейн Алькамаль

Российский университет дружбы народов (РУДН)

2025-12-05

Введение

Значение журналирования

  • Контроль и прозрачность работы ОС
  • Диагностика ошибок и сбоев
  • Анализ инцидентов безопасности
  • Мониторинг активности пользователей и служб

Цель презентации

  • Рассмотреть механизм журналирования
  • Изучить архитектуру Event Log
  • Показать инструменты анализа событий

Основные понятия

Категории событий Windows

  • Information
  • Warning
  • Error
  • Critical
  • Audit Success
  • Audit Failure

Основные журналы Windows

Журнал Назначение
Application События приложений
System Ошибки драйверов и служб
Security Аудит входов и изменений
Setup Установка и конфигурация
Forwarded Events События с других машин

Интерфейс Event Viewer

Общий вид Event Viewer

Архитектура журналирования Windows

Основные компоненты

  • Event Providers
  • Event Log Service
  • Event Channels
  • Event IDs

Типы каналов

  • Administrative
  • Operational
  • Analytical
  • Debug

Структура каналов журналов

Структура каналов

Инструменты журналирования

Event Viewer

  • Просмотр событий
  • Фильтрация
  • Экспорт журналов
  • Создание Custom View

Фильтрация событий

Фильтрация событий

PowerShell для журналирования

Основные команды:

Get-EventLog -LogName Security -Newest 20
Get-WinEvent -LogName Application
Get-WinEvent -FilterHashtable @{LogName="Security"; ID=4625}

Windows Event Forwarding (WEF)

Используется для:

  • Централизованного сбора событий
  • Интеграции с SIEM
  • Управления аудитом в корпоративных сетях

Схема WEF

Журналирование безопасности

Основные события Security Log

ID Описание
4624 Успешный вход
4625 Ошибка входа
4634 Выход
4720 Создание учётной записи
4726 Удаление учётной записи
1102 Очистка журнала

Пример события 4625

Событие 4625

Расширенный аудит

Набор механизмов включает:

  • Local Security Policy
  • Advanced Audit Policy Configuration
  • Sysmon
  • Group Policy Objects

Настройка Audit Policies

Audit Policies

Sysmon

Преимущества:

  • Логирование сетевых подключений
  • Отслеживание процессов
  • Поддержка цепочек событий
  • Контроль изменений файлов

Экспорт журнала событий

Экспорт журнала

Создание Custom View

Custom View

Заключение

  • Журналирование — ключевой инструмент администратора
  • Позволяет обнаруживать атаки
  • Обеспечивает диагностику и анализ
  • Укрепляет защиту инфраструктуры
  • Интегрируется с SIEM, PowerShell и Sysmon

Спасибо за внимание!